SlideShare a Scribd company logo

пр Процедура управление инцидентами иб (Small)

Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

Презентация для конференции SECURE IT WORLD (СПб)

Technology
1 of 13
Download to read offline
Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявленными DLP Прозоров Андрей, CISM Руководитель экспертного направления Компания Solar Security Мой блог: 80na20.blogspot.com Мой твиттер: twitter.com/3dwave 2015-10
solarsecurity.ru +7 (499) 755-07-70 2 DLP является средством автоматизации, но и специалист по ИБ без работы не останется…
solarsecurity.ru +7 (499) 755-07-70 Типовые сценарии работы с DLP 3 1. Регулярный мониторинг событий (М) 2. Расследование инцидентов (Р) #1
solarsecurity.ru +7 (499) 755-07-70 Зачем это нужно? 4  Не каждое «событие» переходит в «инцидент» (М)  Инциденты важно вовремя выявить (ограничения для дисциплинарных наказаний по ТК РФ) (М)  Не за все «утечки» можно наказать строго (например, при записи информации на флешку нет факта «разглашения»). Но можно найти и другие нарушения… (Р)  Важно понимать, единственный инцидент или сотрудник регулярно нарушает (Р)  Можно выявить аномальное поведение и связи (М, Р)  Можно выявить всех участников (Р)
solarsecurity.ru +7 (499) 755-07-70 5 Важнейшими элементами DLP становятся Архив всех сообщений и Инструменты работы с ним
solarsecurity.ru +7 (499) 755-07-70 Фокус внимания на самое важное 6 Люди События и инциденты Информация Досье на информационные объекты: • места хранения • каналы передачи • отправители и получатели Досье на персон и группы: • Общая информация • События и инциденты • Граф-связей • Уровень доверия («карма») • Канал передачи • Сработавшая политика • Отправители и получатели
solarsecurity.ru +7 (499) 755-07-70 7
solarsecurity.ru +7 (499) 755-07-70 Полная процедура управления инцидентами (DLP) 8 1.Обнаружение и регистрация событий системой DLP 2.Выявление инцидентов 4.Расследование инцидента 5.Реагирование на инцидент 6.Анализ причин инцидента и «полученных уроков» 3.Оперативное реагирование на инцидент
solarsecurity.ru +7 (499) 755-07-70 9 Специалисты по ИБ часто не знают, что можно (нужно) делать с выявленными нарушителями
solarsecurity.ru +7 (499) 755-07-70 Пример модели принятия решения по инциденту (по сумме баллов) 10 1. Какова величина ущерба? Крупный – 6; Неизвестно или пока нет, но может быть – 3; Ущерба нет – 1 2. Выявлен ли умысел сотрудника? Да – 3; Неизвестно – 1; Нет, инцидент по ошибке – 0 3. Какой уровень доверия к сотруднику? Низкий – 3; Обычный – 1; Высокий – 0 4. Были ли у сотрудника инциденты до этого? Да – 2; Нет – 0 5. Какова вероятность, что инцидент повториться у этого сотрудника? Высокая – 3; Средняя (скорее нет, маловероятно) – 1; Низкая – 0 до 6 – вариант А; 6-12 – вариант Б; 13 и больше – вариант В
solarsecurity.ru +7 (499) 755-07-70 Решение в случае виновности сотрудника 11 1. Перевод в группу «Особый контроль» 2. Получение объяснительной* 3. Профилактическая беседа 4. Лишение благ и привилегий (втч и лишение прав доступа) 5. Дисциплинарные взыскания:  замечание  выговор  увольнение по соответствующим основаниям 6. Увольнение по инициативе работника / по соглашению сторон 7. Возмещение ущерба 8. Уголовное преследование 9. Прочее Б) По решению руководства и HR В) По решению руководства, HR, юристов и ИБ. Необходимо четкое понимание процедур и высокий уровень «бумажной безопасности» А) По решению ИБ
solarsecurity.ru +7 (499) 755-07-70 Вместо подведения итогов 12 На этом у меня все. Напомню, что работа с DLP складывается из 2х составляющих: регулярный мониторинг событий и расследование инцидентов. А хорошие DLP системы упрощают такую работу…
Спасибо за внимание! Прозоров Андрей, CISM Мой блог: 80na20.blogspot.com Мой твиттер: twitter.com/3dwave

Recommended

пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Про DLP Dozor v6
пр Про DLP Dozor v6пр Про DLP Dozor v6
пр Про DLP Dozor v6Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOCпр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOCAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Про измерение ИБ для VolgaBlob Trend 2015
пр Про измерение ИБ для VolgaBlob Trend 2015пр Про измерение ИБ для VolgaBlob Trend 2015
пр Про измерение ИБ для VolgaBlob Trend 2015Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Recommended

пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Про DLP Dozor v6
пр Про DLP Dozor v6пр Про DLP Dozor v6
пр Про DLP Dozor v6Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOCпр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOCAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Про измерение ИБ для VolgaBlob Trend 2015
пр Про измерение ИБ для VolgaBlob Trend 2015пр Про измерение ИБ для VolgaBlob Trend 2015
пр Про измерение ИБ для VolgaBlob Trend 2015Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
2.про soc от solar security
2.про soc от solar security2.про soc от solar security
2.про soc от solar securityAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Спроси эксперта DLP
пр Спроси эксперта DLPпр Спроси эксперта DLP
пр Спроси эксперта DLPAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Что такое новый Dozor
пр Что такое новый Dozorпр Что такое новый Dozor
пр Что такое новый DozorAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Принцип 80 на 20 для обеспечения кибербезопасности
пр Принцип 80 на 20 для обеспечения кибербезопасности пр Принцип 80 на 20 для обеспечения кибербезопасности
пр Принцип 80 на 20 для обеспечения кибербезопасности Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOCSolar Security
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Управление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar DozorУправление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar DozorSolar Security
 
5.про soc от jet
5.про soc от jet5.про soc от jet
5.про soc от jetAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовпр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
4.про soc от пм
4.про soc от пм4.про soc от пм
4.про soc от пмAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр 03.JSOC inside
пр 03.JSOC insideпр 03.JSOC inside
пр 03.JSOC insideAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить Solar Security
 
Актуальность аутсорсинга ИБ в России
Актуальность аутсорсинга ИБ в РоссииАктуальность аутсорсинга ИБ в России
Актуальность аутсорсинга ИБ в РоссииSolar Security
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOCSolar Security
 
Хронология кибератаки. Точки выявления и контроля. Место SOC
Хронология кибератаки. Точки выявления и контроля. Место SOCХронология кибератаки. Точки выявления и контроля. Место SOC
Хронология кибератаки. Точки выявления и контроля. Место SOCSolar Security
 
пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр стоимость утечки информации Iw для idc
пр стоимость утечки информации Iw для idcпр стоимость утечки информации Iw для idc
пр стоимость утечки информации Iw для idcAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр аналитика по утечкам информации (Data breach) 1.0 2013 11
пр аналитика по утечкам информации (Data breach) 1.0 2013 11пр аналитика по утечкам информации (Data breach) 1.0 2013 11
пр аналитика по утечкам информации (Data breach) 1.0 2013 11Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Про практику DLP (Код ИБ)
Про практику DLP (Код ИБ)Про практику DLP (Код ИБ)
Про практику DLP (Код ИБ)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Айсбер утечки информации
пр Айсбер утечки информации пр Айсбер утечки информации
пр Айсбер утечки информации Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

More Related Content

What's hot

пр Принцип 80 на 20 для обеспечения кибербезопасности
пр Принцип 80 на 20 для обеспечения кибербезопасности пр Принцип 80 на 20 для обеспечения кибербезопасности
пр Принцип 80 на 20 для обеспечения кибербезопасности Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOCSolar Security
 
Управление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar DozorУправление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar DozorSolar Security
 
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовпр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить Solar Security
 
Актуальность аутсорсинга ИБ в России
Актуальность аутсорсинга ИБ в РоссииАктуальность аутсорсинга ИБ в России
Актуальность аутсорсинга ИБ в РоссииSolar Security
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOCSolar Security
 
Хронология кибератаки. Точки выявления и контроля. Место SOC
Хронология кибератаки. Точки выявления и контроля. Место SOCХронология кибератаки. Точки выявления и контроля. Место SOC
Хронология кибератаки. Точки выявления и контроля. Место SOCSolar Security
 

What's hot (17)

2.про soc от solar security
2.про soc от solar security2.про soc от solar security
2.про soc от solar security
 
пр Спроси эксперта DLP
пр Спроси эксперта DLPпр Спроси эксперта DLP
пр Спроси эксперта DLP
 
пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3
 
пр Что такое новый Dozor
пр Что такое новый Dozorпр Что такое новый Dozor
пр Что такое новый Dozor
 
пр Принцип 80 на 20 для обеспечения кибербезопасности
пр Принцип 80 на 20 для обеспечения кибербезопасности пр Принцип 80 на 20 для обеспечения кибербезопасности
пр Принцип 80 на 20 для обеспечения кибербезопасности
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
 
Управление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar DozorУправление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar Dozor
 
5.про soc от jet
5.про soc от jet5.про soc от jet
5.про soc от jet
 
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
 
пр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовпр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистов
 
4.про soc от пм
4.про soc от пм4.про soc от пм
4.про soc от пм
 
пр 03.JSOC inside
пр 03.JSOC insideпр 03.JSOC inside
пр 03.JSOC inside
 
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
 
Актуальность аутсорсинга ИБ в России
Актуальность аутсорсинга ИБ в РоссииАктуальность аутсорсинга ИБ в России
Актуальность аутсорсинга ИБ в России
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
 
Хронология кибератаки. Точки выявления и контроля. Место SOC
Хронология кибератаки. Точки выявления и контроля. Место SOCХронология кибератаки. Точки выявления и контроля. Место SOC
Хронология кибератаки. Точки выявления и контроля. Место SOC
 

Viewers also liked

пр аналитика по утечкам информации (Data breach) 1.0 2013 11
пр аналитика по утечкам информации (Data breach) 1.0 2013 11пр аналитика по утечкам информации (Data breach) 1.0 2013 11
пр аналитика по утечкам информации (Data breach) 1.0 2013 11Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр идеи и мысли из хорошей книги (черный лебедь)
пр идеи и мысли из хорошей книги (черный лебедь)пр идеи и мысли из хорошей книги (черный лебедь)
пр идеи и мысли из хорошей книги (черный лебедь)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Viewers also liked (20)

пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1
 
пр стоимость утечки информации Iw для idc
пр стоимость утечки информации Iw для idcпр стоимость утечки информации Iw для idc
пр стоимость утечки информации Iw для idc
 
пр аналитика по утечкам информации (Data breach) 1.0 2013 11
пр аналитика по утечкам информации (Data breach) 1.0 2013 11пр аналитика по утечкам информации (Data breach) 1.0 2013 11
пр аналитика по утечкам информации (Data breach) 1.0 2013 11
 
Про практику DLP (Код ИБ)
Про практику DLP (Код ИБ)Про практику DLP (Код ИБ)
Про практику DLP (Код ИБ)
 
пр Айсбер утечки информации
пр Айсбер утечки информации пр Айсбер утечки информации
пр Айсбер утечки информации
 
пр Все про Dlp 1.1
пр Все про Dlp 1.1пр Все про Dlp 1.1
пр Все про Dlp 1.1
 
пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумали
 
пр серия стандартов Iso 22301
пр серия стандартов Iso 22301пр серия стандартов Iso 22301
пр серия стандартов Iso 22301
 
пр Стандарты ИБ. Непрерывность бизнеса, ISO 22301
пр Стандарты ИБ. Непрерывность бизнеса, ISO 22301пр Стандарты ИБ. Непрерывность бизнеса, ISO 22301
пр Стандарты ИБ. Непрерывность бизнеса, ISO 22301
 
Презентация про майндкарты (Mm)
Презентация про майндкарты (Mm)Презентация про майндкарты (Mm)
Презентация про майндкарты (Mm)
 
Mm Access Management (ITIL)
Mm Access Management (ITIL)Mm Access Management (ITIL)
Mm Access Management (ITIL)
 
пр серия стандартов Iso 27k
пр серия стандартов Iso 27kпр серия стандартов Iso 27k
пр серия стандартов Iso 27k
 
пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)
 
пр идеи и мысли из хорошей книги (черный лебедь)
пр идеи и мысли из хорошей книги (черный лебедь)пр идеи и мысли из хорошей книги (черный лебедь)
пр идеи и мысли из хорошей книги (черный лебедь)
 
пр стандарты иб. Itsm
пр стандарты иб. Itsmпр стандарты иб. Itsm
пр стандарты иб. Itsm
 
Principles for-info-sec-practitioners-poster [ru]
Principles for-info-sec-practitioners-poster [ru]Principles for-info-sec-practitioners-poster [ru]
Principles for-info-sec-practitioners-poster [ru]
 
тб меры защиты пдн при скзи (проект)
тб меры защиты пдн при скзи (проект)тб меры защиты пдн при скзи (проект)
тб меры защиты пдн при скзи (проект)
 
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10
 
1. intro dlp 2014 09
1. intro dlp 2014 091. intro dlp 2014 09
1. intro dlp 2014 09
 

Similar to пр Процедура управление инцидентами иб (Small)

Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...
Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...
Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...Expolink
 
Solar Security. Андрей Тимошенков. "Что действительно может и не может DLP в ...
Solar Security. Андрей Тимошенков. "Что действительно может и не может DLP в ...Solar Security. Андрей Тимошенков. "Что действительно может и не может DLP в ...
Solar Security. Андрей Тимошенков. "Что действительно может и не может DLP в ...Expolink
 
Solar Security. Тимошенков Андрей. "Что действительно может и не может DLP в ...
Solar Security. Тимошенков Андрей. "Что действительно может и не может DLP в ...Solar Security. Тимошенков Андрей. "Что действительно может и не может DLP в ...
Solar Security. Тимошенков Андрей. "Что действительно может и не может DLP в ...Expolink
 
Человек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISCЧеловек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISCRISClubSPb
 
пр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствопр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствоAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
DLP-системы как инструмент проведения расследований
DLP-системы как инструмент проведения расследованийDLP-системы как инструмент проведения расследований
DLP-системы как инструмент проведения расследованийSolar Security
 
Solar Security. Алексей Данилин. "Что действительно может и не может DLP в ко...
Solar Security. Алексей Данилин. "Что действительно может и не может DLP в ко...Solar Security. Алексей Данилин. "Что действительно может и не может DLP в ко...
Solar Security. Алексей Данилин. "Что действительно может и не может DLP в ко...Expolink
 
Как довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаКак довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаInfoWatch
 
Как реагировать на инциденты ИБ с помощью DLP?
Как реагировать на инциденты ИБ с помощью DLP? Как реагировать на инциденты ИБ с помощью DLP?
Как реагировать на инциденты ИБ с помощью DLP? Solar Security
 
Что такое новый Solar Dozor 6.0?
Что такое новый Solar Dozor 6.0?Что такое новый Solar Dozor 6.0?
Что такое новый Solar Dozor 6.0?Solar Security
 
Михаил Антошин (Инфосистемы Джет) "Инструмент настоящего безопасника"
Михаил Антошин (Инфосистемы Джет) "Инструмент настоящего безопасника"Михаил Антошин (Инфосистемы Джет) "Инструмент настоящего безопасника"
Михаил Антошин (Инфосистемы Джет) "Инструмент настоящего безопасника"Expolink
 
Социальная инженерия
Социальная инженерияСоциальная инженерия
Социальная инженерияAlex Babenko
 
Solar Security. Галина Рябова. "Solar Dozor 6"
Solar Security. Галина Рябова. "Solar Dozor 6"Solar Security. Галина Рябова. "Solar Dozor 6"
Solar Security. Галина Рябова. "Solar Dozor 6"Expolink
 
Несколько слайдов про измерение ИБ
Несколько слайдов про измерение ИБНесколько слайдов про измерение ИБ
Несколько слайдов про измерение ИБSolar Security
 
Актуальный ландшафт угроз ИБ
Актуальный ландшафт угроз ИБ Актуальный ландшафт угроз ИБ
Актуальный ландшафт угроз ИБ Solar Security
 
Эффективные и проблемные SOC-процессы
Эффективные и проблемные SOC-процессыЭффективные и проблемные SOC-процессы
Эффективные и проблемные SOC-процессыPositive Hack Days
 
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...RISClubSPb
 

Similar to пр Процедура управление инцидентами иб (Small) (20)

Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...
Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...
Solar Security. Андрей Прозоров. "Процедура реагирования на инциденты ИБ. Уте...
 
Solar Security. Андрей Тимошенков. "Что действительно может и не может DLP в ...
Solar Security. Андрей Тимошенков. "Что действительно может и не может DLP в ...Solar Security. Андрей Тимошенков. "Что действительно может и не может DLP в ...
Solar Security. Андрей Тимошенков. "Что действительно может и не может DLP в ...
 
Solar Security. Тимошенков Андрей. "Что действительно может и не может DLP в ...
Solar Security. Тимошенков Андрей. "Что действительно может и не может DLP в ...Solar Security. Тимошенков Андрей. "Что действительно может и не может DLP в ...
Solar Security. Тимошенков Андрей. "Что действительно может и не может DLP в ...
 
Человек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISCЧеловек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISC
 
пр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствопр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительство
 
DLP-системы как инструмент проведения расследований
DLP-системы как инструмент проведения расследованийDLP-системы как инструмент проведения расследований
DLP-системы как инструмент проведения расследований
 
пр человек смотрящий для Risc
пр человек смотрящий для Riscпр человек смотрящий для Risc
пр человек смотрящий для Risc
 
Solar Security. Алексей Данилин. "Что действительно может и не может DLP в ко...
Solar Security. Алексей Данилин. "Что действительно может и не может DLP в ко...Solar Security. Алексей Данилин. "Что действительно может и не может DLP в ко...
Solar Security. Алексей Данилин. "Что действительно может и не может DLP в ко...
 
Как довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаКак довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до ума
 
Как реагировать на инциденты ИБ с помощью DLP?
Как реагировать на инциденты ИБ с помощью DLP? Как реагировать на инциденты ИБ с помощью DLP?
Как реагировать на инциденты ИБ с помощью DLP?
 
Что такое новый Solar Dozor 6.0?
Что такое новый Solar Dozor 6.0?Что такое новый Solar Dozor 6.0?
Что такое новый Solar Dozor 6.0?
 
Михаил Антошин (Инфосистемы Джет) "Инструмент настоящего безопасника"
Михаил Антошин (Инфосистемы Джет) "Инструмент настоящего безопасника"Михаил Антошин (Инфосистемы Джет) "Инструмент настоящего безопасника"
Михаил Антошин (Инфосистемы Джет) "Инструмент настоящего безопасника"
 
Про DLP (Баку) 2014 11
Про DLP (Баку) 2014 11Про DLP (Баку) 2014 11
Про DLP (Баку) 2014 11
 
Социальная инженерия
Социальная инженерияСоциальная инженерия
Социальная инженерия
 
Solar Security. Галина Рябова. "Solar Dozor 6"
Solar Security. Галина Рябова. "Solar Dozor 6"Solar Security. Галина Рябова. "Solar Dozor 6"
Solar Security. Галина Рябова. "Solar Dozor 6"
 
Несколько слайдов про измерение ИБ
Несколько слайдов про измерение ИБНесколько слайдов про измерение ИБ
Несколько слайдов про измерение ИБ
 
Актуальный ландшафт угроз ИБ
Актуальный ландшафт угроз ИБ Актуальный ландшафт угроз ИБ
Актуальный ландшафт угроз ИБ
 
Эффективные и проблемные SOC-процессы
Эффективные и проблемные SOC-процессыЭффективные и проблемные SOC-процессы
Эффективные и проблемные SOC-процессы
 
Management decisions 20150328
Management decisions 20150328Management decisions 20150328
Management decisions 20150328
 
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
 

More from Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

More from Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001 (20)

NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?
 
pr ISMS Documented Information (lite).pdf
pr ISMS Documented Information (lite).pdfpr ISMS Documented Information (lite).pdf
pr ISMS Documented Information (lite).pdf
 
ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)
 
12 Best Privacy Frameworks
12 Best Privacy Frameworks12 Best Privacy Frameworks
12 Best Privacy Frameworks
 
Cybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdfCybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdf
 
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
My 15 Years of Experience in Using Mind Maps for Business and Personal PurposesMy 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
 
From NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdfFrom NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdf
 
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdfISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
 
ISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdfISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdf
 
How to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdfHow to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdf
 
pr Privacy Principles 230405 small.pdf
pr Privacy Principles 230405 small.pdfpr Privacy Principles 230405 small.pdf
pr Privacy Principles 230405 small.pdf
 
ISO 27001:2022 Introduction
ISO 27001:2022 IntroductionISO 27001:2022 Introduction
ISO 27001:2022 Introduction
 
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdfISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
 
ISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdfISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdf
 
ISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdfISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdf
 
ISO Survey 2021: ISO 27001.pdf
ISO Survey 2021: ISO 27001.pdfISO Survey 2021: ISO 27001.pdf
ISO Survey 2021: ISO 27001.pdf
 
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdfAll about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
 
Supply management 1.1.pdf
Supply management 1.1.pdfSupply management 1.1.pdf
Supply management 1.1.pdf
 
Employee Monitoring and Privacy.pdf
Employee Monitoring and Privacy.pdfEmployee Monitoring and Privacy.pdf
Employee Monitoring and Privacy.pdf
 
GDPR RACI.pdf
GDPR RACI.pdfGDPR RACI.pdf
GDPR RACI.pdf
 

пр Процедура управление инцидентами иб (Small)

  • 1. Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявленными DLP Прозоров Андрей, CISM Руководитель экспертного направления Компания Solar Security Мой блог: 80na20.blogspot.com Мой твиттер: twitter.com/3dwave 2015-10
  • 2. solarsecurity.ru +7 (499) 755-07-70 2 DLP является средством автоматизации, но и специалист по ИБ без работы не останется…
  • 3. solarsecurity.ru +7 (499) 755-07-70 Типовые сценарии работы с DLP 3 1. Регулярный мониторинг событий (М) 2. Расследование инцидентов (Р) #1
  • 4. solarsecurity.ru +7 (499) 755-07-70 Зачем это нужно? 4  Не каждое «событие» переходит в «инцидент» (М)  Инциденты важно вовремя выявить (ограничения для дисциплинарных наказаний по ТК РФ) (М)  Не за все «утечки» можно наказать строго (например, при записи информации на флешку нет факта «разглашения»). Но можно найти и другие нарушения… (Р)  Важно понимать, единственный инцидент или сотрудник регулярно нарушает (Р)  Можно выявить аномальное поведение и связи (М, Р)  Можно выявить всех участников (Р)
  • 5. solarsecurity.ru +7 (499) 755-07-70 5 Важнейшими элементами DLP становятся Архив всех сообщений и Инструменты работы с ним
  • 6. solarsecurity.ru +7 (499) 755-07-70 Фокус внимания на самое важное 6 Люди События и инциденты Информация Досье на информационные объекты: • места хранения • каналы передачи • отправители и получатели Досье на персон и группы: • Общая информация • События и инциденты • Граф-связей • Уровень доверия («карма») • Канал передачи • Сработавшая политика • Отправители и получатели
  • 8. solarsecurity.ru +7 (499) 755-07-70 Полная процедура управления инцидентами (DLP) 8 1.Обнаружение и регистрация событий системой DLP 2.Выявление инцидентов 4.Расследование инцидента 5.Реагирование на инцидент 6.Анализ причин инцидента и «полученных уроков» 3.Оперативное реагирование на инцидент
  • 9. solarsecurity.ru +7 (499) 755-07-70 9 Специалисты по ИБ часто не знают, что можно (нужно) делать с выявленными нарушителями
  • 10. solarsecurity.ru +7 (499) 755-07-70 Пример модели принятия решения по инциденту (по сумме баллов) 10 1. Какова величина ущерба? Крупный – 6; Неизвестно или пока нет, но может быть – 3; Ущерба нет – 1 2. Выявлен ли умысел сотрудника? Да – 3; Неизвестно – 1; Нет, инцидент по ошибке – 0 3. Какой уровень доверия к сотруднику? Низкий – 3; Обычный – 1; Высокий – 0 4. Были ли у сотрудника инциденты до этого? Да – 2; Нет – 0 5. Какова вероятность, что инцидент повториться у этого сотрудника? Высокая – 3; Средняя (скорее нет, маловероятно) – 1; Низкая – 0 до 6 – вариант А; 6-12 – вариант Б; 13 и больше – вариант В
  • 11. solarsecurity.ru +7 (499) 755-07-70 Решение в случае виновности сотрудника 11 1. Перевод в группу «Особый контроль» 2. Получение объяснительной* 3. Профилактическая беседа 4. Лишение благ и привилегий (втч и лишение прав доступа) 5. Дисциплинарные взыскания:  замечание  выговор  увольнение по соответствующим основаниям 6. Увольнение по инициативе работника / по соглашению сторон 7. Возмещение ущерба 8. Уголовное преследование 9. Прочее Б) По решению руководства и HR В) По решению руководства, HR, юристов и ИБ. Необходимо четкое понимание процедур и высокий уровень «бумажной безопасности» А) По решению ИБ
  • 12. solarsecurity.ru +7 (499) 755-07-70 Вместо подведения итогов 12 На этом у меня все. Напомню, что работа с DLP складывается из 2х составляющих: регулярный мониторинг событий и расследование инцидентов. А хорошие DLP системы упрощают такую работу…
  • 13. Спасибо за внимание! Прозоров Андрей, CISM Мой блог: 80na20.blogspot.com Мой твиттер: twitter.com/3dwave